专栏丨大东话安全之病毒世界的“千面人”

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、谶曰

千面人：拥有千张脸孔，难于识别。

东哥：多态病毒——病毒世界的“千面人”。

小白：打倒！

二、病毒通缉令

小白：此小兽疑似四脚蛇，背上长着一溜儿眼睛，假装凶猛的眼神里还透着一丝萌意~瞧这一排尖牙啃的，它一定是饿了~~

大东：饿的是你吧。

小白：嘿嘿，这是啥呢，大东东？

大东：此牌描述的是“Parite”，该家族是一种多态的文件感染型病毒，能够在本地文件系统和可写网络共享中，感染 Windows 可执行文件。反过来，受感染的文件会通过执行操作来感染其他文件。

小白：“多态”是啥？“可写网络共享”是啥？还有图上这“PE”是啥？

大东：别急别急，咱们慢慢讲~

 

三、目标是文件

大东：话说这个 Parite 病毒，你别听它的描述里一套一套的，什么“多态”啊，“文件感染型”啊，虽然它感染力极高，破坏力也不赖，但实际上它的威胁程度低，影响的平台为 Windows 95、Windows 98、Windows NT、Windows 2000、Windows XP 这类比较老的操作系统，现在也没啥人用了。

小白：大东东，你知道的可真多~

大东：咳咳，多读书多看报，少吃零食多睡觉。我这一手资料是来自小红伞 Avira Virus Lab 发布的 Parite 病毒报告。

Avira Virus Lab Parite病毒报告

狡猾“千面人”

小白：Parite 是怎么捣乱的呢？

大东：Parite 是文件感染型病毒，感染的文件运行后，直接控制病毒生成文件，使其将病毒文件写为临时文件并执行它的感染程序，并在硬盘和局域网里的共享目录里搜索所有.scr和.exe类型的 Win32 PE 格式文件进行感染。

小白：等等等等！这个“共享”，还有“PE”都是些啥呀？

大东：“网络共享”是以计算机等终端设备为载体，借助互联网这个面向公众的社会性组织，进行信息交流和资源共享，并允许他人获取自己的劳动果实。如果你在此共享网络获取了可写权限，就可以向共享网络中上传你想分享的文件。

共享网络

而这“PE”呢，是 Portable Executable，可移植性可执行文件，是一种文件格式，主要使用在32位和64位的 Windows 操作系统上。“可移植的”是指该文件格式的通用性，可用于许多不同种类的操作系统中。

小白：噢~您继续~~

大东：Parite 是一种多态性病毒——病毒世界的“千面人”。这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。

电脑中毒 Parite

小白：厉害了！

大东：第一次运行时，Parite 病毒会创建一个临时文件，文件名则是随机的，但都具有同一个特征。你看看这个例子： C:/WINDOWS/TEMP/epe71F0.TMP，它是由3个随机字母+4个十六进制随机数字+.tmp组成。这是一个动态链接库文件，里边包含了病毒的主要功能。

小白：这规律都被大东东发现了，那以后它还怎么混啊~~

大东：此外，病毒会把本地的动态链接库文件贮存在注册表中，之后再运行时，病毒会附加在 Explorer.exe 文件上，以便驻留于内存之中。

杀 Patrite 我看行

小白：还挺狡猾！那有啥对付的办法没有？

大东：病毒会感染本地及其它可以访问的网络驱动器上的 exe 和 src 文件，直接格式化C盘是无济于事的。这个病毒会感染别的盘符下所有 exe 文件，所以首先要保证所有盘中的病毒都清除干净！

小白：怎么做？

大东：第一步：下载 Win32.Parite 病毒专杀工具。知道你懒，喏，下载地址接好：http://download.csdn.net/detail/wuxiaokaixinguo/6333233

下载 Win32.Parite 病毒专杀工具

小白：嘿嘿，知我者，大东东者也~~

大东：第二步：运行“流行病毒专杀工具(Spant).exe”文件。

运行专杀工具

       

第三步：专杀工具查杀完毕后，利用系统急救箱进行系统修复。修复完毕则重启电脑。

最后，再使用病毒查杀工具进行扫描，确保系统正常，无病毒。

小白：妥妥的~~

 

四、小白内心说

大东：刚才是不是还有个啥名词没解释？

小白：是的呀，“多态”是啥？

大东：“多态”是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。多态型病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，查毒软件的编写变得更困难，并还会带来许多的误报。

小白：专为杀毒软件而设计！

大东：你这是什么心态？！多态病毒避免被检测的方法主要有两种：使用不固定的密钥或者随机数加密病毒代码，或者在病毒运行的过程中改变病毒代码，除了这两种主要的方式外，还有的病毒，例如“炸弹人”通过一些奇怪的指令序列等方法可以实现多态性。

五、话说漫威

大东：小白，看过《X战警》吗？

小白：那肯定！没看过……

大东：那正好，我跟你讲讲《X战警》里主要敌对势力的首领——万磁王。

万磁王

小白：小瓜子儿嗑起来~

大东：万磁王出生于20世纪20年代德国中产阶级家庭，是犹太人，幸运地逃过了奥斯威辛集中营的屠杀。

小白：留下不少心理阴影吧！

大东：没错，这段经历使得身为变种人的他对普通人类更加严酷。他创办了变种兄弟会，带领他们对抗人类。

小白：诶，黑化了！

大东：他还制作了 Parite，一种多态的文件感染型病毒，能够在本地文件系统和可写网络共享中，感染 Windows 可执行文件。反过来，受感染的文件会通过执行操作来感染其他文件。

小白：经鉴定，此人需要进化！

来源：中国科学院计算技术研究所